호출자가 리소스를 암호화하거나 복호화할 권한이 있는지 확인하기 위해 Google에서 발급한 보유자 토큰 (JWT: RFC 7516)입니다.
악용을 방지하기 위해 키 액세스 제어 목록 서비스 (KACLS)는 호출자가 키를 래핑하기 전에 객체 (파일 또는 문서)를 암호화하고 DEK를 래핑 해제하기 전에 복호화할 권한이 있는지 확인해야 합니다.
Docs 및 Drive, Calendar, Meet 클라이언트 측 암호화 (CSE)의 승인 토큰
JSON 표현 | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
필드 | |
---|---|
aud |
Google에서 식별한 잠재고객입니다. 로컬 구성을 기준으로 확인해야 합니다. |
email |
사용자의 이메일 주소 |
email_type |
다음 값 중 하나를 포함합니다.
|
exp |
만료 시간입니다. |
iat |
발급 시간 |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. |
kacls_url |
구성된 기본 KACLS URL로, 중간자 (PITM) 공격을 방지하는 데 사용됩니다. |
perimeter_id |
(선택사항) 래핑 해제 시 확인할 경계를 선택하는 데 사용할 수 있는 문서 위치에 연결된 값입니다. 최대 크기: 128바이트 |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
role |
다음 값 중 하나를 포함합니다. |
Gmail CSE의 승인 토큰
JSON 표현 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
필드 | |
---|---|
aud |
Google에서 식별한 잠재고객입니다. 로컬 구성을 기준으로 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간 |
message_id |
복호화 또는 서명이 실행되는 메시지의 식별자입니다. 감사 목적으로 고객 이유로 사용됩니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. |
kacls_url |
구성된 기본 KACLS URL로, 중간자 (PITM) 공격을 방지하는 데 사용됩니다. |
perimeter_id |
(선택사항) 래핑 해제 시 확인할 경계를 선택하는 데 사용할 수 있는 문서 위치에 연결된 값입니다. 최대 크기: 128바이트 |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 512바이트 |
role |
다음 값 중 하나를 포함합니다.
|
spki_hash |
액세스 중인 비공개 키의 DER 인코딩 |
spki_hash_algorithm |
|
KACLS 이전 서비스의 승인 토큰
JSON 표현 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
필드 | |
---|---|
aud |
Google에서 식별한 잠재고객입니다. 로컬 구성을 기준으로 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간 |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. |
kacls_url |
구성된 기본 KACLS URL로, 중간자 (PITM) 공격을 방지하는 데 사용됩니다. |
role |
다음 값 중 하나를 포함합니다. |